Evelīna Stīlere
Evelyn ir sarežģīta informāciju zogoša ļaunprogrammatūra, kas izveidota, lai nemanāmi apkopotu sensitīvus datus, vienlaikus aktīvi izvairoties no drošības analīzes un atklāšanas. Tās galvenā funkcija ir iegūt vērtīgu informāciju no inficētām sistēmām un, izmantojot FTP, to nogādāt uz apdraudējuma izpildītāja vadības un kontroles (C2) infrastruktūras.
Zaglis spēj apkopot plašu datu klāstu, tostarp saglabātos pārlūkprogrammas akreditācijas datus, starpliktuves saturu, Wi-Fi paroles, kriptovalūtas maka informāciju un detalizētu sistēmas informāciju. Kad apkopošana ir pabeigta, viss nozagtais materiāls tiek saspiests ZIP arhīvā un nosūtīts uzbrucēja FTP serveri.
Satura rādītājs
Klusa iestatīšana un Windows iespēju ļaunprātīga izmantošana
Izpildot Evelyn, tā dinamiski ielādē Windows komponentus, kas nepieciešami tās darbībai, tostarp procesu injekcijas, failu un reģistra piekļuves, tīkla komunikācijas un starpliktuves uzraudzības funkcijas. Šīs iespējas ļauj ļaunprogrammatūrai dziļi integrēties sistēmā un atbalstīt tās datu zādzības mērķus.
Lai saglabātu slepenību, Evelīna ir izstrādāta tā, lai izvairītos gan no manuālas, gan automatizētas analīzes. Pirms pilnīgas aktivizēšanas tā novērtē vidi, lai noteiktu, vai tā tiek pārbaudīta.
Iebūvēta analīze un apiešana no smilškastes
Evelīna izmanto vairākas antianalīzes metodes, lai atklātu virtuālās mašīnas, atkļūdotājus un drošības vai pētniecības rīkus. Tikai pēc tam, kad ir apstiprināts, ka sistēma šķiet īsta lietotāja vide, tā turpina darbu.
Šajā posmā ļaunprogrammatūra izveido savus direktorijus lietotāja AppData mapē, ko tā izmanto ievāktās informācijas un atbalsta failu glabāšanai.
Agresīva pārlūkprogrammas mērķauditorijas atlase un procesu manipulācija
Ļaunprogrammatūra sāk ar visu sistēmā jau esošo pārlūkprogrammas datu apkopošanu un pēc tam piespiedu kārtā aizver darbojošās pārlūkprogrammas. Tas gan novērš datu konfliktus, gan sagatavo vidi nākamajai fāzei: injekcijai.
Evelīnai ir nepieciešams īpašs palīgfails, lai nozagtu pārlūkprogrammas pieteikšanās datus. Vispirms tā pārbauda, vai šis fails jau pastāv sistēmas TEMP direktorijā. Ja nē, tā mēģina lejupielādēt failu no FTP servera. Kā pēdējo rezerves variantu tā meklē direktorijā, kurā darbojas pati ļaunprogrammatūra.
Kad fails ir iegūts, Evelīna ļoti kontrolētā veidā palaiž mērķa pārlūkprogrammu un slepeni tajā ievada ļaunprātīgo komponentu. Tas ļauj zaglim apiet iebūvēto pārlūkprogrammas aizsardzību. Lai nebrīdinātu lietotāju vai drošības programmatūru, pārlūkprogramma tiek startēta ar daudziem slēptiem parametriem, kas nomāc logus, atspējo drošības funkcijas un paplašinājumus, novērš žurnāla izveidi un slēpj visas redzamās pazīmes, ka pārlūkprogramma ir atvērta. Šie pasākumi ļauj klusi iegūt pārlūkprogrammas datus.
Datu vākšanas paplašināšana
Papildus pārlūkprogrammām Evelīna uzņem darbvirsmas ekrānuzņēmumus un apkopo plašu sistēmas informāciju, tostarp pašreizējo lietotājvārdu, datora nosaukumu, operētājsistēmas versiju, instalētās lietojumprogrammas, darbojošos procesus un VPN konfigurācijas. Ļaunprogramma arī aktīvi uzbrūk kriptovalūtas makiem, uzrauga starpliktuvi un izgūst saglabātos Wi-Fi akreditācijas datus.
Visa apkopotā informācija tiek apvienota, saspiesta ZIP arhīvā un, izmantojot FTP, nosūtīta uzbrucēja C2 serveri.
Infekcijas vektors: Trojiešu zirgu izraisīts izstrādātāja paplašinājums
Evelyn tiek izplatīts, izmantojot ļaunprātīgu Visual Studio Code paplašinājumu, kas izliekas par likumīgu pievienojumprogrammu. Instalējot šo paplašinājumu, tas ievieto viltotu failu, kas maskēts kā parasta Lightshot dinamiskās saites bibliotēka (DLL). Pēc tam oriģinālā Lightshot lietojumprogramma ielādē šo viltoto DLL, neapzināti izpildot uzbrucēja kodu.
Kad ļaunprātīgais DLL ir aktīvs, tas palaiž slēptu PowerShell komandu, lai lejupielādētu papildu vērtumu. Šis sekundārais komponents ir atbildīgs par Evelyn informācijas zagļa ievadīšanu un aktivizēšanu.
Drošības ietekmes un riska novērtējums
Evelyn rada augsta riska apdraudējumu, pateicoties tā slepenībai, plašajam datu vākšanas apjomam un spēcīgajām apiešanas metodēm. Tā koncentrēšanās uz pārlūkprogrammas datiem, sistēmas informāciju un kriptovalūtas aktīviem padara infekcijas īpaši bīstamas. Šī zagļa kompromitēšana var izraisīt finansiālus zaudējumus, kontu pārņemšanu un identitātes zādzību, uzsverot spēcīgas galapunktu aizsardzības, piesardzīgas paplašinājumu instalēšanas prakses un nepārtrauktas anomālas sistēmas uzvedības uzraudzības nozīmi.
